ADITINET – IL 54% DEGLI ALERT INFORMATICI VIENE IGNORATO: COME EVITARLO?
Contenuto sponsorizzato
VUOI RICEVERE VIA E-MAIL I PROSSIMI CONTENUTI DI RADIO IT?
Iscriviti alla nostra newsletter
Questo podcast è realizzato in collaborazione con Aditinet, ed è rivolto in particolare alle aziende che hanno bisogno di capire con precisione quando è in corso un attacco, e di rispondere con misure di sicurezza adeguate.
Hacker: una minaccia costante
Entriamo per un secondo nella quotidianità di un’azienda, dotata ovviamente di sistemi di difesa da attacchi informatici. Ecco, sotto questo profilo si tratta di una quotidianità complicata, perché i sistemi di allerta si fanno sentire molto spesso. E a pensarci, purtroppo, è normale, perché le minacce informatiche sono all’ordine del secondo.
L’idea dell’hacker incappucciato che opera dalla propria cantina per cercare di violare potentissimi sistemi di sicurezza, in una sfida con se stesso che ricorda un po’ il ragazzino del film Wargames – ormai datato (è del 1983) ma sempre molto bello – ebbene, è un’idea da consegnare ai libri di storia.
Il crimine informatico oggi opera sul deep web, dove c’è un vero e proprio mercato degli attacchi informatici i cui protagonisti sono organizzazioni criminali, dotate di hacker esperti e di sistemi molto ben congegnati per violare la sicurezza di aziende e organizzazioni. E dotate di tempo, fattore cruciale nella fisiologia di un attacco.
Hacker: maghi del tempo
Il tempo è cruciale perché consente di sferrare attacchi ripetuti: secondo una rilevazione MITRE, il tempo medio di durata è di 197 giorni. In altre parole: sei mesi, un’era geologica durante la quale un’azienda è bersagliata da eventi potenzialmente dannosi e, soprattutto, difficilissimi da riconoscere. Sempre MITRE ci spiega che su 100 segnali di attacco informatico, solo uno costituisce un’effettiva minaccia. Ma permettersi di ignorare gli altri 99 non è possibile, così le aziende devono impiegare risorse – umane, tecnologiche ed economiche – per il continuo monitoraggio della situazione.
Per capirci meglio: ipotizziamo che una persona del reparto IT, che accede ai sistemi di sicurezza in certi momenti della giornata e normalmente dall’Italia, acceda invece dalla Russia e a un orario non consueto. In questo caso, il sistema di sicurezza alza il livello di alert. Si tratta quindi di capire se quell’accesso sia legittimo – il nostro uomo è in hotel a San Pietroburgo, dove è andato per lavoro, e sta collegandosi con il proprio pc aziendale – o se invece non lo sia, e costituisca quindi un attacco.
Hacker: il 54% degli attacchi non è esaminato
Ecco, quest’indagine non è semplice. Ci sono un sacco di elementi da correlare, spalmati su un tempo lungo, e di solito gli analisti impiegano dai 4 ai 7 giorni per cogliere il punto. Troppi, nella vita di un’azienda, ma non gliene si può fare una colpa. L’abbiamo visto: su 100 eventi, solo uno è una minaccia effettiva, e però l’analisi va fatta su tutti. Ma questo comporta lavoro, che spesso non si riesce a svolgere perché gli episodi sono troppi: una ricerca ESG del marzo 2017 rileva che il 54% di essi finiscono per essere ignorati perché gli analisti non hanno il tempo per analizzarli. Dopotutto, capire un’escalation è difficile.
Se un’organizzazione criminale vuole impossessarsi di dati per accedere a documenti riservati e poi diffonderli – pensiamo al caso Wikileaks – comincia recuperando le informazioni di qualcuno che non dispone di accessi privilegiati, e da lì comincia il percorso che, evento dopo evento, la porta a entrare in possesso delle credenziali di tutti gli appartenenti all’organizzazione. In quel modo, la porta del sistema si spalanca. E’ una tipologia di attacco estremamente complessa, e quasi mai identica nelle sue modalità.
Hacker: la soluzione suggerita da Aditinet
Bene, abbiamo capito quanto complessa e difficile sia la quotidianità di un’azienda nel reparto IT e nello specifico della sicurezza informatica. Ma come è possibile affrontare e risolvere queste criticità? Aditinet suggerisce uno strumento di Detection & Response sviluppato da Palo Alto Networks, che si chiama XDR.
Si tratta di una soluzione che consente di integrare tutte le informazioni provenienti dai sensori che intercettano una minaccia – firewall di rete, dispositivi sugli endpoint, cloud, e così via -, di correlarli anche attraverso l’utilizzo dell’intelligenza artificiale, di automatizzarli e di raffrontarli a una delle banche dati più grandi disponibili per l’analisi degli eventi criminosi. XDR usa insomma i big data in modo più veloce, per fare in modo automatico l’analisi di tutto quanto accade o è accaduto su quei sensori. Uno dei suoi punti di forza è la capacità di sfrondare il superfluo, eliminando tutte le situazioni che non costituiscono una minaccia e consegnando agli analisti solo gli eventi importanti.
Ciò accade anche grazie all’analisi comportamentale, cioè quel sistema che consente di capire – riferendoci al caso visto poc’anzi – se il nostro uomo a San Pietroburgo sia davvero un nostro uomo o un altro e con idee pericolose nella testa. Il sistema capisce subito la natura dell’ingresso, ed evita che sia l’analista a doverlo fare. Evita, insomma, quella che in gergo viene definita “fatigue alert”, fatica da allarme, e che è la responsabile di quel numero – 54 – che abbiamo visto essere la percentuale di attacchi ignorati per limiti fisici degli addetti alla sicurezza.
Hacker: Palo Alto XDR e i suoi risultati
La valutazione condotta da MITRE su paloalto XDR ha rilevato che la soluzione ha intercettato l’88,9% delle tecniche di attacco – la più alta dei test condotti – e ha azzerato il tasso di alert la cui analisi è messa in sospeso per ragioni di tempo, poiché la sua indagine è condotta in tempo reale, con una percezione pressoché immediata della natura dell’attacco. Una delle prime conseguenze di queste caratteristiche è il risparmio di energie e costi sulla sicurezza aziendale: la media della spesa per Detection and Response si abbassa del 44%. I bilanci aziendali non possono che esserne felici.
.
Vuoi rimanere aggiornato via e-mail?
Cliccando su “Invia” dichiari di aver letto e accettato l’Informativa Privacy.
0 Comments